GRE隧道调测

  • risingsunczl

    2006-09-01 16:54:49
  • IT综合
  • 原创

GRE:通用路由封装技术。这种技术是在IP数据包的外面再加上一个IP头。通俗的说,就是把私有数据进行一下伪装,加上一个“外套”,传送到其他地方。因为企业私有网络的IP地址通常是自己规划,无法和外部互联网进行正确的路由。而在企业网络的出口,通常会有一个互联网唯一的IP地址。这个地址可以在互联网中唯一识别出来。GRE就是把目的IP地址和源地址为企业内部地址的数据报文进行封装,加上一个目的地址为远端机构互联网出口的IP地址,源地址为本地互联网出口的IP地址的IP头,从而经过通过互联网进行正确的传输。

[@more@]

1 GRE隧道配置

下面以科研中心和中试中心的2台机器(私网IP)通过公司内部网(这里可以将其看作公网)互连为例,介绍一下GRE隧道的配置方法。

GRE TOPO

PC1PC2IP地址分别为:192.168.3.1/24192.168.5.1/24,这两个IP在公司内部网上是无法被正确路由的,除非在公司内部网内途经的各个路由器上都做好上述IP地址的路由数据,而一般情况下公司IT部门是不会帮你做这种事情的。

只要我们在科研中心和中试中心各有1个公司内部网IP,例如:10.71.0.23010.78.195.11,而且这两个IP之间可以相互PING通,我们就可以在Router1Router2之间做1GRE隧道,PC1PC2发出的IP包通过隧道传输,即可实现PC1PC2间的互通。

1.1 Router1GRE隧道及路由配置

隧道

interface Tunnel1/0/0

undo shutdown

ip address 192.168.6.1 255.255.255.0

source 10.71.0.230

destination 10.78.195.11

gre key 123456

gre checksum

路由

ip route-static 192.168.5.1 255.255.255.0 Tunnel 1/0/0 preference 60

1.2 Router2GRE隧道及路由配置

隧道

interface Tunnel2/0/0

undo shutdown

ip address 192.168.6.2 255.255.255.0

source 10.78.195.11

destination 10.71.0.230

gre key 123456

gre checksum

路由

ip route-static 192.168.3.1 255.255.255.0 Tunnel 2/0/0 preference 60

1.3 GRE隧道配置注意事项

1)隧道两端的逻辑IP地址要配置正确。例如:192.168.6.1192.168.6.2要在同一网段。

2)隧道两端的物理IP地址要配置正确。例如:10.71.0.230Router1的源IP,是Router2的目的IP10.78.195.11Router2的源IP,是Router1的目的IP

3)隧道两端的gre keygre checksum要配置一致。

2 GRE隧道调测

两端的路由器配置好之后,按如下步骤进行调测:

1)在每个路由器上PING对端路由器的GRE隧道物理IP,要确保能PING通,否则请检查两侧路由器的路由配置:是否配置了到对端GRE隧道物理IP的路由。以Router1为例,上面必须有到10.78.195.11的路由配置,对应的下一跳地址为10.71.0.129

2)在每个路由器上PING对端路由器的GRE隧道逻辑IP,要确保能PING通,否则请检查两侧路由器的隧道配置,参见隧道配置注意事项。

3)在两台PCPING对端PCIP地址,如果能PING通,OKGRE隧道配置成功;否则,请检查两个路由器上是否配置了到对端PC的路由(下一跳为隧道),另外检查2PC上是否配置了到对端PC的路由。

3 GRE隧道应用

3.1 私网IP穿越公网

本文前面所给的例子实际上就是私网IP穿越公网,只不过这里的公网不是Internet,而是公司内部网,但原理是一样的。

3.2 公网IP穿越私网

假定我们通过公司IT部门申请了一个Internet公网IP,由PDSN分配给移动终端使用。

PDSN和公司Internet出口路由器之间一般是走公司内部网的,可以在PDSN和公司Internet出口路由器之间做一条GRE隧道,这样送往移动终端的公网IP包到达Internet出口路由器时,通过隧道送往PDSN;送往Internet的公网IP包到达PDSN时,通过隧道送往Internet出口路由器。

注意事项:

1PDSN本身就是路由器,隧道可以直接做在PDSNInternet出口路由器之间,而无需在PDSN侧另外配置路由器。

2)公网IP一般只能申请到1个或很少几个,因此PDSN不可能给所有移动终端分配公网IP,只能部分终端分配公网IP,部分终端分配私网IP。这就要求PDSN中至少分配2IP地址池,相应的鉴权域也应该配置至少2个。我们公司的PDSN在不鉴权的情况下,只能配置1个构造域,相应只能配置1IP地址池,无法满足上述要求。要达到上述要求,必须配置AAA服务器,同时PDSN启动鉴权。标准配置的AAA是装在Sun工作站上的,调测起来比较麻烦,可以使用Win98操作系统的PC安装Shiva Access Manager软件作为AAA使用。

请使用浏览器的分享功能分享到微信等